Срочно. Microsoft выпустила локальный инструмент устранения рисков Exchange в один клик

Microsoft выпустила локальный инструмент устранения рисков Exchange в один клик. Фото: Pixabay

В этом месяце Microsoft сообщила, что при атаках на Microsoft Exchange активно использовались четыре уязвимости нулевого дня. Эти уязвимости известны под общим названием ProxyLogon и используются хакерами, чтобы заразить сервер веб-оболочками, программами шифровальщиками или заставить скомпрометированную систему майнить криптовалюты, сообщает компания.

Сегодня Microsoft выпустила сценарий PowerShell EOMT, чтобы владельцы малого бизнеса, у которых нет выделенных групп или групп безопасности, могли получить дополнительную помощь в обеспечении безопасности своих серверов Microsoft Exchange.

«Мы активно работаем с клиентами через наши группы поддержки клиентов, сторонних хостеров и партнёрскую сеть, чтобы помочь им защитить свои среды и отреагировать на связанные угрозы от недавних локальных атак на  Exchange Server. На основе этих взаимодействий мы поняли, что существует потребность в простом, удобном, автоматизированном решении, которое отвечало бы потребностям клиентов, использующих как текущие, так и неподдерживаемые версии локального сервера Exchange Server», — объясняют представители Microsoft в корпоративном блоге.

EOMT.ps1 можно загрузить из репозитория GitHub от Microsoft.

Софт выполняет следующие задачи:

• Проверяет, уязвим ли сервер к уязвимостям ProxyLogogon.
• Устраняет уязвимость CVE-2021-26855 подделки запросов на стороне сервера (SSRF) путём установки модуля IIS URL Rewrite и правила регулярного выражения, которое прерывает любые соединения, содержащие заголовки файлов cookie X-AnonResource-Backend и X-BEResource.
• Загружает и запускает сканер безопасности Microsoft, чтобы удалить известные веб-оболочки и другие вредоносные сценарии, установленные через эти уязвимости. Затем сценарий удалит все обнаруженные вредоносные файлы.

После запуска сценария EOMT пользователи могут найти файл журнала в C: \ EOMTSummary.txt, в котором содержится информация о задачах, выполняемых инструментом.

Помимо запуска EOMT, администраторам рекомендуется запустить  сценарий Test-ProxyLogon.ps1, чтобы также проверить индикаторы компрометации (IOC) в журналах Exchange HttpProxy, файлах журналов Exchange и журналах событий приложений Windows.